脆弱性開示ポリシー
ダイキン工業株式会社(以降、当社)では、安心して製品をご利用いただくために情報セキュリティの脆弱性(欠陥)対策を推進しています。
以下に、当社における脆弱性対策の概要、当社への通報先、お客様への情報提供、届出の取り組みについて記載します。
「脆弱性」(ぜいじゃくせい)とは、デジタル製品のOSやソフトウェアにおいて、プログラムの不具合や設計ミスが原因となって発生した情報セキュリティ上の欠陥を指します。ハードウェアの物理破損(例:落下や水没による故障)、製造上の欠陥、経年劣化、外部環境要因による故障や不具合とは異なります。
1.脆弱性情報の入手について
当社では、製品の情報セキュリティ品質向上のため、社外のセキュリティ研究者や調整機関などから製品の脆弱性に関する情報の提供を受け付けております。
脆弱性に関する情報のご連絡は、以下【脆弱性受付窓口(脆弱性報告フォーム)】をご利用ください。
脆弱性受付窓口(脆弱性報告フォーム)から脆弱性に関する情報を受信した場合、7営業日以内に受領確認のご連絡を差し上げます。
土曜日、日曜日、祝日、当社休業日および営業時間外にいただいたご報告については、翌営業日以降の受付とさせていただきますことをご了承ください。
ダイキン工業 脆弱性受付窓口では、当社製品の未公開の脆弱性に限り情報を受け付けております。
また、当社以外の製品につきましては、各製造元までご連絡いただけますようお願いいたします。
脆弱性受付窓口(脆弱性報告フォーム)はSSL/TLSにより暗号化されております。
また、脆弱性受付窓口(脆弱性報告フォーム)からご報告いただいた後のご報告者様とのコミュニケーションは電子メールで行います。
2.調査と対策方針の決定
ご提供いただいた情報は、該当製品の関連部門にて確認を行い、下記3点に該当する場合、新規の脆弱性として対応を進めます。
- 製品のセキュリティに影響する問題であること
- 再現性があること
- 未公開の情報であること
なお、確認にあたり必要に応じて、追加情報のご提供をお願いする場合がございます。
新規の脆弱性であると判断された場合は、対策の実施と情報公開の準備を行います。
新規の脆弱性ではないことが確認された場合は、結果をご報告者様へ説明の上、対応を終了いたします。
ただし、販売終了から長期間が経過し、サポートが終了している製品に対しては脆弱性調査を行わないケースがあることをご了承ください。
3.脆弱性への対応と情報の取扱いについて
新たな脆弱性と確認された場合、当社は適切な対策を講じ、影響の最小化に努めます。
お客様への影響が想定される場合には、個別のご案内やサポート等、適切な対応を行ってまいります。
なお、お問い合わせ内容につきましては、セキュリティ確保および不正利用防止の観点から、原則として公開いたしません。
関係者への適切な範囲での共有にとどめ、厳格な情報管理のもと対応を行っております。